什么是防火墻？

防火墻是一種監(jiān)視網(wǎng)絡(luò)流量并檢測(cè)潛在威脅的安全設(shè)備或程序，作為一道保護(hù)屏障，它只允許非威脅性流量進(jìn)入，阻止危險(xiǎn)流量進(jìn)入。 ? 防火墻是client-server模型中網(wǎng)絡(luò)安全的基礎(chǔ)之一，但它們?nèi)菀资艿揭韵路矫娴墓? ?

社會(huì)工程攻擊（例如，有人竊取密碼并進(jìn)行欺詐）。

內(nèi)部威脅（例如，內(nèi)網(wǎng)中的某人故意更改防火墻設(shè)置）。

人為錯(cuò)誤（例如，員工忘記打開防火墻或忽略更新通知）。

? 防火墻是如何工作的？ ? 企業(yè)在網(wǎng)絡(luò)中設(shè)置內(nèi)聯(lián)防火墻，作為外部源和受保護(hù)系統(tǒng)之間的邊界。管理員創(chuàng)建阻塞點(diǎn)，防火墻在阻塞點(diǎn)檢查所有進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包，包含: ?

有效負(fù)載（實(shí)際內(nèi)容）。

標(biāo)頭（有關(guān)數(shù)據(jù)的信息，例如誰發(fā)送了數(shù)據(jù)，發(fā)給了誰）。

防火墻根據(jù)預(yù)設(shè)規(guī)則分析數(shù)據(jù)包，以區(qū)分良性和惡意流量。這些規(guī)則集規(guī)定了防火墻如何檢查以下內(nèi)容： ?

源IP和目的IP 地址。

有效負(fù)載中的內(nèi)容。

數(shù)據(jù)包協(xié)議（例如，連接是否使用 TCP/IP 協(xié)議）。

應(yīng)用協(xié)議（HTTP、Telnet、FTP、DNS、SSH 等）。

表明特定網(wǎng)絡(luò)攻擊的數(shù)據(jù)模式。

防火墻阻止所有不符合規(guī)則的數(shù)據(jù)包，并將安全數(shù)據(jù)包路由到預(yù)期的接收者。當(dāng)防火墻阻止流量進(jìn)入網(wǎng)絡(luò)時(shí)，有兩種選擇： ?

默默地放棄請(qǐng)求。

向發(fā)件人發(fā)送error信息。

這兩種選擇都可以將危險(xiǎn)流量排除在網(wǎng)絡(luò)之外。通常，安全團(tuán)隊(duì)更喜歡默默放棄請(qǐng)求以限制信息，以防潛在的黑客測(cè)試防火墻的漏洞。 ?
基于部署方式的防火墻類型

? 根據(jù)部署方式，可以將防火墻分為三種類型：硬件防火墻、軟件防火墻和基于云的防火墻。

軟件防火墻

軟件防火墻（或主機(jī)防火墻）直接安裝在主機(jī)設(shè)備上。這種類型的防火墻只保護(hù)一臺(tái)機(jī)器（網(wǎng)絡(luò)終端、臺(tái)式機(jī)、筆記本電腦、服務(wù)器等），因此管理員必須在他們想要保護(hù)的每臺(tái)設(shè)備上安裝一個(gè)版本的軟件。 ? 由于管理員將軟件防火墻附加到特定設(shè)備上，因此這些防火墻不可避免地會(huì)占用一些系統(tǒng) RAM 和 CPU，這在某些情況下是一個(gè)問題。 ? 軟件防火墻的優(yōu)點(diǎn)：

為指定設(shè)備提供出色的保護(hù)。

將各個(gè)網(wǎng)絡(luò)端點(diǎn)彼此隔離。

高精度的安全性，管理員可以完全控制允許的程序。

隨時(shí)可用。

軟件防火墻的缺點(diǎn)：

消耗設(shè)備的 CPU、RAM 和存儲(chǔ)空間。

需要為每個(gè)主機(jī)設(shè)備配置。

日常維護(hù)既困難又耗時(shí)。

并非所有設(shè)備都與每個(gè)防火墻兼容，因此可能必須在同一網(wǎng)絡(luò)中使用不同的解決方案。

硬件防火墻

硬件防火墻（或設(shè)備防火墻）是一個(gè)單獨(dú)的硬件，用于過濾進(jìn)出網(wǎng)絡(luò)的流量。與軟件防火墻不同，這些獨(dú)立設(shè)備有自己的資源，不會(huì)占用主機(jī)設(shè)備的任何 CPU 或 RAM。 ? 硬件防火墻相對(duì)更適合大型企業(yè)，中小型企業(yè)可能更多地會(huì)選擇在每臺(tái)主機(jī)上安裝軟件防火墻的方式，硬件防火墻對(duì)于擁有多個(gè)包含大量計(jì)算機(jī)的子網(wǎng)的大型組織來說是一個(gè)極好的選擇。 ? 硬件防火墻的優(yōu)點(diǎn)：

使用一種解決方案保護(hù)多臺(tái)設(shè)備。

頂級(jí)邊界安全性，因?yàn)閻阂饬髁坑肋h(yuǎn)不會(huì)到達(dá)主機(jī)設(shè)備。

不消耗主機(jī)設(shè)備資源。

管理員只需為整個(gè)網(wǎng)絡(luò)管理一個(gè)防火墻。

硬件防火墻的缺點(diǎn)：

比軟件防火墻更昂貴。

內(nèi)部威脅是一個(gè)相當(dāng)大的弱點(diǎn)。

與基于軟件的防火墻相比，配置和管理需要更多的技能。

基于云的防火墻

許多供應(yīng)商提供基于云的防火墻，它們通過 Internet 按需提供。這些服務(wù)也稱為防火墻即服務(wù)（FaaS），以IaaS 或 PaaS的形式運(yùn)行。 ? 基于云的防火墻非常適用于：

高度分散的業(yè)務(wù)。

在安全資源方面存在缺口的團(tuán)隊(duì)。

不具備必要的內(nèi)部專業(yè)知識(shí)的公司。

與基于硬件的解決方案一樣，云防火墻在邊界安全方面表現(xiàn)出色，同時(shí)也可以在每個(gè)主機(jī)的基礎(chǔ)上設(shè)置這些系統(tǒng)。 ? 云防火墻的優(yōu)點(diǎn)：

服務(wù)提供商處理所有管理任務(wù)（安裝、部署、修補(bǔ)、故障排除等）。

用戶可以自由擴(kuò)展云資源以滿足流量負(fù)載。

無需任何內(nèi)部硬件。

高可用性。

云防火墻的缺點(diǎn)：

供應(yīng)商究竟如何運(yùn)行防火墻缺乏透明度。

與其他基于云的服務(wù)一樣，這些防火墻很難遷移到新的提供商。

流量流經(jīng)第三方可能會(huì)增加延遲和隱私問題。

由于高昂的運(yùn)營成本，從長遠(yuǎn)來看是比較貴的。

基于操作方法的防火墻類型 ? 下面是基于功能和 OSI 模型的五種類型的防火墻。

包過濾防火墻

包過濾防火墻充當(dāng)網(wǎng)絡(luò)層的檢查點(diǎn)，并將每個(gè)數(shù)據(jù)包的標(biāo)頭信息與一組預(yù)先建立的標(biāo)準(zhǔn)進(jìn)行比較。這些防火墻檢查以下基于標(biāo)頭的信息： ?

目的地址和源 IP 地址。

數(shù)據(jù)包類型。

端口號(hào)。

網(wǎng)絡(luò)協(xié)議。

這些類型的防火墻僅分析表面的細(xì)節(jié)，不會(huì)打開數(shù)據(jù)包來檢查其有效負(fù)載。包過濾防火墻在不考慮現(xiàn)有流量的情況下真空檢查每個(gè)數(shù)據(jù)包。?包過濾防火墻非常適合只需要基本安全功能來抵御既定威脅的小型組織。 ? 包過濾防火墻的優(yōu)點(diǎn)：

低成本。

快速包過濾和處理。

擅長篩選內(nèi)部部門之間的流量。

低資源消耗。

對(duì)網(wǎng)絡(luò)速度和最終用戶體驗(yàn)的影響最小。

多層防火墻策略中出色的第一道防線。

包過濾防火墻的缺點(diǎn)：

不檢查數(shù)據(jù)包有效負(fù)載（實(shí)際數(shù)據(jù)）。

對(duì)于有經(jīng)驗(yàn)的黑客來說很容易繞過。

無法在應(yīng)用層進(jìn)行過濾。

容易受到 IP 欺騙攻擊，因?yàn)樗鼏为?dú)處理每個(gè)數(shù)據(jù)包。

沒有用戶身份驗(yàn)證或日志記錄功能。???????

訪問控制列表的設(shè)置和管理具有挑戰(zhàn)性。

電路級(jí)網(wǎng)關(guān)

電路級(jí)網(wǎng)關(guān)在 OSI 會(huì)話層運(yùn)行，并監(jiān)視本地和遠(yuǎn)程主機(jī)之間的TCP（傳輸控制協(xié)議）握手。其可以在不消耗大量資源的情況下快速批準(zhǔn)或拒絕流量。但是，這些系統(tǒng)不檢查數(shù)據(jù)包，因此如果 TCP 握手通過，即使是感染了惡意軟件的請(qǐng)求也可以訪問。 ? 電路級(jí)網(wǎng)關(guān)的優(yōu)點(diǎn)：

僅處理請(qǐng)求的事務(wù)，并拒絕所有其他流量。

易于設(shè)置和管理。

資源和成本效益。

強(qiáng)大的地址暴露保護(hù)。

對(duì)最終用戶體驗(yàn)的影響最小。

電路級(jí)網(wǎng)關(guān)的缺點(diǎn)：

不是一個(gè)獨(dú)立的解決方案，因?yàn)闆]有內(nèi)容過濾。

通常需要對(duì)軟件和網(wǎng)絡(luò)協(xié)議進(jìn)行調(diào)整。

狀態(tài)檢測(cè)防火墻

狀態(tài)檢測(cè)防火墻（或動(dòng)態(tài)包過濾防火墻）在網(wǎng)絡(luò)層和傳輸層監(jiān)控傳入和傳出的數(shù)據(jù)包。這類防火墻結(jié)合了數(shù)據(jù)包檢測(cè)和 TCP 握手驗(yàn)證。 ? 狀態(tài)檢測(cè)防火墻維護(hù)一個(gè)表數(shù)據(jù)庫，該數(shù)據(jù)庫跟蹤所有打開的連接使系統(tǒng)能夠檢查現(xiàn)有的流量流。該數(shù)據(jù)庫存儲(chǔ)所有與關(guān)鍵數(shù)據(jù)包相關(guān)的信息，包括： ?

源IP。

源端口。

目的 IP。

每個(gè)連接的目標(biāo)端口。

當(dāng)一個(gè)新數(shù)據(jù)包到達(dá)時(shí)，防火墻檢查有效連接表。檢測(cè)過的數(shù)據(jù)包無需進(jìn)一步分析即可通過，而防火墻會(huì)根據(jù)預(yù)設(shè)規(guī)則集評(píng)估不匹配的流量。 ? 狀態(tài)檢測(cè)防火墻的優(yōu)點(diǎn)：

過濾流量時(shí)會(huì)自動(dòng)通過以前檢查過的數(shù)據(jù)包。

在阻止利用協(xié)議缺陷的攻擊方面表現(xiàn)出色。

無需打開大量端口來讓流量進(jìn)出，這可以縮小攻擊面。

詳細(xì)的日志記錄功能，有助于數(shù)字取證。

減少對(duì)端口掃描器的暴露。

狀態(tài)檢測(cè)防火墻的缺點(diǎn)：

比包過濾防火墻更昂貴。

需要高水平的技能才能正確設(shè)置。

通常會(huì)影響性能并導(dǎo)致網(wǎng)絡(luò)延遲。

不支持驗(yàn)證欺騙流量源的身份驗(yàn)證。

容易受到利用預(yù)先建立連接的 TCP Flood攻擊。

代理防火墻

代理防火墻（或應(yīng)用級(jí)網(wǎng)關(guān)）充當(dāng)內(nèi)部和外部系統(tǒng)之間的中介。這類防火墻會(huì)在客戶端請(qǐng)求發(fā)送到主機(jī)之前對(duì)其進(jìn)行屏蔽，從而保護(hù)網(wǎng)絡(luò)。 ? 代理防火墻在應(yīng)用層運(yùn)行，具有深度包檢測(cè) (DPI)功能，可以檢查傳入流量的有效負(fù)載和標(biāo)頭。 ? 當(dāng)客戶端發(fā)送訪問網(wǎng)絡(luò)的請(qǐng)求時(shí)，消息首先到達(dá)代理服務(wù)器。 ? 防火墻會(huì)檢查以下內(nèi)容：

客戶端和防火墻后面的設(shè)備之間的先前通信（如果有的話）。

標(biāo)頭信息。

內(nèi)容本身。

然后代理屏蔽該請(qǐng)求并將消息轉(zhuǎn)發(fā)到Web 服務(wù)器。此過程隱藏了客戶端的 ID。服務(wù)器響應(yīng)并將請(qǐng)求的數(shù)據(jù)發(fā)送給代理，之后防火墻將信息傳遞給原始客戶端。 ? 代理防火墻是企業(yè)保護(hù) Web應(yīng)用免受惡意用戶攻擊的首選。 ? 代理防火墻的優(yōu)點(diǎn)：

DPI檢查數(shù)據(jù)包標(biāo)頭和有效負(fù)載 。

在客戶端和網(wǎng)絡(luò)之間添加了一個(gè)額外的隔離層。

對(duì)潛在威脅行為者隱藏內(nèi)部 IP 地址。

檢測(cè)并阻止網(wǎng)絡(luò)層不可見的攻擊。

對(duì)網(wǎng)絡(luò)流量進(jìn)行細(xì)粒度的安全控制。

解除地理位置限制。

代理防火墻的缺點(diǎn)：

由于徹底的數(shù)據(jù)包檢查和額外的通信步驟，會(huì)導(dǎo)致延遲增加。

由于處理開銷高，不如其他類型的防火墻成本低。

設(shè)置和管理具有挑戰(zhàn)性。

不兼容所有網(wǎng)絡(luò)協(xié)議。

下一代防火墻

下一代防火墻(NGFW)是將其他防火墻的多種功能集成在一起的安全設(shè)備或程序。這樣的系統(tǒng)提供： ?

分析流量內(nèi)容的深度數(shù)據(jù)包檢測(cè)（DPI）。

TCP 握手檢查。

表層數(shù)據(jù)包檢測(cè)。

下一代防火墻還包括額外的網(wǎng)絡(luò)安全措施，例如：

IDS 和 IPS。

惡意軟件掃描和過濾。

高級(jí)威脅情報(bào)（模式匹配、基于協(xié)議的檢測(cè)、基于異常的檢測(cè)等）

防病毒程序。

網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT)。

服務(wù)質(zhì)量 (QoS)功能。

SSH檢查。

NGFW 是醫(yī)療保健或金融等受到嚴(yán)格監(jiān)管的行業(yè)的常見選擇。 ? 下一代防火墻的優(yōu)點(diǎn)：

將傳統(tǒng)防火墻功能與高級(jí)網(wǎng)絡(luò)安全功能相結(jié)合。

檢查從數(shù)據(jù)鏈路層到應(yīng)用層的網(wǎng)絡(luò)流量。

日志記錄功能。

下一代防火墻的缺點(diǎn)：

比其他防火墻更昂貴。

存在單點(diǎn)故障。

部署時(shí)間緩慢。

需要高度的專業(yè)知識(shí)才能設(shè)置和運(yùn)行。

影響網(wǎng)絡(luò)性能。

任何一個(gè)保護(hù)層，無論多么強(qiáng)大，都不足以完全保護(hù)你的業(yè)務(wù)。企業(yè)往往會(huì)在同一個(gè)網(wǎng)絡(luò)中設(shè)置多個(gè)防火墻，選擇理想的防火墻首先要了解企業(yè)網(wǎng)絡(luò)的架構(gòu)和功能，確定這些不同類型的防火墻和防火墻策略哪個(gè)最適合自己。通常情況下，企業(yè)網(wǎng)絡(luò)應(yīng)該設(shè)置多層防火墻，既在外圍保護(hù)又在網(wǎng)絡(luò)上分隔不同的資產(chǎn)，從而使你的網(wǎng)絡(luò)更難破解。

編輯：黃飛